REGOLAMENTO SULLA VIOLAZIONE DELLA SICUREZZA DEI DATI

Valido: dal 25 maggio 2018 fino alla revoca

1. Introduzione

La CGP Europe Korlátolt Felelősségű Társaság (sede: 1024 Budapest, Ady Endre út 19; numero di registro: 01-09-965048; partita IVA: 23425026-2-41; codice di trattamento dati: NAIH-78299/2014.; (di seguito: “Titolare del trattamento”) redige il presente Regolamento sulla violazione della sicurezza dei dati (di seguito: “Regolamento”).

2. Definizioni

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile “interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dato identificativo: il nome e il cognome, il nome alla nascita, il sesso, il luogo e la data di nascita, il nome e il cognome alla nascita della madre, la residenza, il domicilio, il numero di previdenza sociale, complessivamente o uno qualsiasi di essi se adatto o se può essere adatto all’identificazione dell’interessato.

Dato particolare: dato personale relativo all’etnia di origine, alla nazionalità, all’opinione politica o all’appartenenza ad un partito, alla religione o alle convinzioni personali, all’appartenenza sindacale, alla vita sessuale, alla salute, alle dipendenze, al casellario giudiziale.

Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Titolare del trattamento: la persona fisica o giuridica, ovvero l’organizzazione priva di personalità giuridica, la quale, singolarmente o insieme ad altri, determina le finalità, i mezzi del trattamento dei dati personali, prende e esegue o fa eseguire dal responsabile del trattamento le decisioni relative al trattamento dei dati (compresi i mezzi utilizzati). Titolare del trattamento è anche la persona fisica o giuridica, ovvero l’organizzazione priva di personalità giuridica, la quale, per finalità prevista dalla legge, ha diritto al trattamento dei dati personali o identificativi, nonché occasionalmente dei Dati particolari o dei Dati relativi alla salute.

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Violazione di sicurezza: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

3. Legislazione in materia di protezione dei dati

Le norme di particolare rilevanza dall’aspetto del Regolamento sono:

  1. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 5/46/CE – „regolamento generale sulla protezione dei dati” (GDPR)
  2. Magyarország Alaptörvénye (Legge fondamentale dell’Ungheria);
  3. A Polgári Törvénykönyvről szóló 2013. évi V. törvény 2:42. § (art. 2:42 della legge V dell’anno 2013 sul Codice civile);
  4. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) (legge CXII dell’anno 2011 sul diritto di autodeterminazione in materia di informazione e sulla libertà di informazione, (legge Infotv.));
  5. Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (legge XLVII dell’anno 1997 sul trattamento e la protezione dei dati relativi alla salute e dei dati personali connessi);
  6. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (legge CVIII dell’anno 2001 su alcuni aspetti dei servizi del commercio elettronico, nonché dei servizi connessi alla società di informazione);
  7. A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (legge LXVI dell’anno 1992 sul registro dei dati personali e della residenza dei cittadini);
  8. Le vigenti variazioni del Regolamento, nonché la prassi e le raccomandazioni della Commissione europea e della vigilanza competente in base alla sede del Titolare del trattamento.

4. Notifica della Violazione della sicurezza dei dati

Il Titolare del trattamento notifica la violazione di sicurezza dei dati all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a mano che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 re, è corredata dei motivi del ritardo.
Il Responsabile del trattamento informa il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

La notifica di Violazione di sicurezza dei dati deve almeno:

  1. descrivere la natura della Violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonchè le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  2. comunicare il nome e i dati di contatto del responsabile delle protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  3. descrivere le probabili conseguenze della Violazione dei dati personali;
  4. descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla Violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Il Titolare del trattamento documento qualsiasi Violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

5. Comunicazione di una Violazione dei dati all’interessato

Quando la Violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la Violazione all’interessato senza ingiustificato ritardo.
Nella comunicazione all’interessato il Titolare del trattamento descrive con un linguaggio semplice e chiaro la natura della Violazione dei dati personali e comunica il nome e i dati di contatto di altro punto di contatto presso cui ottenere più informazioni, descrive le probabili conseguenze della Violazione dei dati personali, nonché descrive le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla Violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Non è richiesta la comunicazione di cui al punto 5 del presente Regolamento se è soddisfatta una delle seguenti condizioni:

  1. il Titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della Violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
  2. il Titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un richio elevato per i diritti e le libert degli interesssati;
  3. la comunicazione richiederebbe sforzi sproporzionati. In tal caso, se procede invice a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Nel caso in cui il Titolare del trattamento non abbia ancora comunicato all’interessato la Violazione dei dati, l’autorità di controllo può chiedere, dopo aver valutato la probabilità che la violazione dei dati presenti un rischio elevato, che vi provveda o può decidere che la comunicazione può essere omessa.

6. Altre disposizioni

Il presente Regolamento, in conformità al Regolamento sul trattamento dei dati del Titolare del trattamento e al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (GDPR), adotta le seguenti disposizioni:
Il Trattamento dei dati dovrebbe essere altresí considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento dei dati fondato sull’interesse vitale di un’altra persona fisica dovrebb avee luogo in principio unicamente quando il Trattamento dei dati non può essere manifestatamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
Il diritto dell’Unione o degli Stati membri può imporre limitazione a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una Violazione dei dati all’interessato e ad alcuni obblighi connessi in capi ai Titolari del trattamento, ove ciò sia necessario o proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per ulteriore trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento politico sotto precedenti regimi statali totalitari o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

7. Disposizioni finali

Il presente Regolamento entra in vigore alla data della sottoscrizione.
Le disposizioni del presente Regolamento devono essere applicate al trattamento dei dati successivo all’entrata in vigore.
Le disposizioni del presente Regolamento devono essere applicate anche al trattamento dei dati in corso all’atto dell’entrata in vigore.
Per le questioni non regolate dal presente Regolamento si osservano le norme di cui al punto 3.
Con l’entrata in vigore del presente Regolamento i precedenti regolamenti sul trattamento dei dati in vigore presso il Titolare del trattamento cessano di produrre effetti.  


Budapest, 25/05/2018